军工行业网络安全解决方案整体设计
田鑫
中国核工业建设集团公司四七一厂
摘  要 网络安全问题越来越引起世界各国的严密关注,随着计算机网络在军工行业的广泛应用,不断出现网络被非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络、应用程序的安全漏洞越来越多;各种病毒泛滥成灾。这一切,已给各个国家以及我国军工行业造成巨大的经济损失,甚至危害到国家安全。
关键词 计算机  网络  安全  方案
1 概述
1.1  方案背景
随着计算机、通信、网络技术的发展,全球信息化的步伐越来越快,网络信息系统已经成为一个国家、一个行业、一个集团、一个企业寻求发展的基础设施。人类在感受到网络信息系统对
社会文明的巨大贡献的同时,也认识到网络信息安全问题已成为影响国家、军工行业和长远利益而亟待解决的重大关键问题。
对国家而言,没有网络安全解决方案,就没有信息基础设施的安全保证,就没有网络空间上的国家主权和国家安全,国家的政治、军事、经济、文化、教育、社会生活等将处于信息战的威胁之中。web应用防护系统
大多数军工集团、军工企业在2002年完成了对计算机网络的升级改造。近年来通过各集团、各企业的积极努力,极大地加快了信息化建设的进程;然而,内部网络的安全问题还是相当突出,比如计算机病毒就是一个主要的危害因素。
如何根据军工行业具体的网络系统环境,在“整体安全评估与安全规划”的基础上,建立一套行之有效的安全解决方案,将是本文研讨的主题。
1.2  实施意义
随着计算机技术、信息技术的发展,计算机网络系统必将成为我国军工行业业务的关键平台。同时,随着计算机网络系统的发展,计算机网络安全系统必将发挥越来越重要的作用。
网络安全系统的建立,必将为军工行业的业务信息系统、行政管理、信息交流提供一个安全的环境和完整平台。通过先进技术建立起的网络安全系统,可以从根本上解决来自网络外部及内部对网络安全造成的各种威胁,以最优秀的网络安全整体解决方案为基础形成一个更加完善的业务系统和办公自动化系统。利用高性能的网络安全环境,提供整体防病毒、防黑客、数据加密、身份验证防火墙等于一身的功能,有效地保证秘密、机密文件的安全传输,严格地制止经济情报丢失、泄密现象发生,维护数据安全。
中国核工业建设集团公司四七一厂在2005年全面启动信息化建设,建成了覆盖整个企业各业务部门并与Internet联接的千兆快速以太网,尤其在当前网络安全和今后的信息安全上取得的实践经验,笔者作为项目的负责者认为可作为军工行业各级机构借鉴。因此,本方案的实施还可以达到预期的经济及社会效益。
2  需求分析
2.1  网络现状
2005年,中国核工业建设集团公司四七一厂由于生产、科研、经营、管理工作的需要,对原
有的10Mbps低速局域网进行了较大规模的升级改造工程,建成了覆盖一个企业各业务部门并与Internet联接的千兆快速以太网;使整个网络从IPX和TCP/IP协议混用的网络过渡到统一使用TCP/IP协议的网络,整个网络变的易于管理,较IPX和TCP/IP协议混用的网络更易于控制。
现有网络核心设备采用HUAWEI、CISCO等公司的产品,信息中心设在机关办公大楼楼三楼,并配有一台高性能的中心交换机;厂机关及下属处级单位、车间分别配置可堆叠工作组交换机,中心交换机与各工作组交换机之间使用光纤形成星型连接,建成了4个千兆、9个百兆的主干传输通道,共连接3栋办公楼,联网计算机近150多台。如图1-1所示。
图1-1 核工业四七一厂网络拓扑图
在网络建设的同时,开发推广了实用的网络应用服务功能,包括开发数据库综合应用、WWW信息网站、、FTP、视频服务等等。随着各种应用的开展,大大促进了中国核工业建设集团公司四七一厂信息化管理和无纸化办公的进程。
2.2  网络安全现状
目前,中国核工业建设集团公司四七一厂对网络安全采取的主要措施有:
1)  利用操作系统、数据库、、应用系统本身安全性,对用户进行权限控制。
2)  采用了一定的数据备份措施(数据库系统备份)。
3)  使用防病毒软件对计算机病毒及时清除。
4)  使用了基于用户名/口令的访问控制。
5)  不定期对系统和应用日志进行审计。
6)  浏览相关系统网站,及时下载安全补丁。
但是,仅靠以上几项安全措施,还不能达到中国核工业建设集团公司四七一厂安全的要求。
2.3  主要网络安全威胁
网络安全的建立并不是单纯几种安全技术产品的堆积,它的重点在于要针对中国核工业建设集团公司四七一厂现有的网络环境,对网络中所有可能存在的破坏侵入点进行详细的分析,针对每一个可能的侵入点进行层层防护,对症下药,真正使之成为“安全的”企业网络。
对中国核工业建设集团公司四七一厂网络安全构成威胁的主要因素有:
1)  内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同进也能访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
2)  来自内部网的病毒的破坏。内部用户的恶意攻击、误操作,但目前发生的概率较小。
3)  来自外部网络的攻击,具体有二条途径:1) Internet的连接部分;2)与各二级单位连接
的部分。
4)  外部网的破坏主要方式为:1)黑客用户的恶意攻击、窃取信息;2)通过网络传送的病毒和Internet的夹带的病毒。3)来自Internet的Web浏览可能存在的恶意Java/ActiveX控件。
5)  缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。
6)  缺乏一套完整的安全策略、政策。
其中,目前最主要的安全威胁是来自网络外部用户(主要是各二级单位用户和Internet用户)的攻击。
2.4  网络安全需求分析
根据上面所描述的企业网络的具体环境和相应的遭受威胁的可能性分析,我们提出如下网络安全体系需求报告: